Sicherheit im Netz: Zu leichtes Spiel mit Passwörtern

Donnerstag, 15. Oktober 2020
ID: 
014/02/10-2020
Fast jeder hat mindestens zehn oder zwanzig davon. Wenn sie nicht mehrfach genutzt werden, sind es locker vierzig oder mehr. Die Rede ist von Passwörtern, die im Netz bei Bankgeschäften, zum Abrufen von E-Mails, beim Einkaufen, in sozialen Netzwerken oder am Arbeitsplatz benötigt werden. Immer häufiger kommt es vor, dass jemand versucht, Passwörter abzufangen oder zu erraten und in krimineller Absicht einzusetzen, in der Regel mit finanziellem Schaden für die Nutzer. Stephan Wiefling, Doktorand in der Gruppe für Daten- und Anwendungssicherheit (DAS), von Prof. Dr.-Ing. Luigi Lo Iacono am Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg (H-BRS), arbeitet an Methoden, mit denen legitime Nutzer beim Einloggen als solche erkannt werden, Gauner jedoch ihr Ziel nicht erreichen.
Illustration der Funktionsweise von risikobasierter Authentifizierung. Illustration: Stephan Wiefling
Funktionsweise von risikobasierter Authentifizierung bei als hoch eingestuftem Risiko. Illustration: Stephan Wiefling

„Es geht um risikobasierte Authentifizierung, kurz RBA“, sagt Wiefling und erklärt das Prinzip. Demnach akzeptiert eine Webseite die Eingaben von Nutzername und Passwort, solange das System keine Auffälligkeiten erkennt. Erst wenn es sich aufgrund des Verhaltens nicht sicher ist, dass sich die legitime Person einloggen möchte, fragt es nach einer zweiten Autorisierung. Verdächtig ist sogenanntes abweichendes Verhalten. Verwendet eine Person beispielsweise ein bislang ungenutztes Gerät, meldet sich an einem ungewöhnlichen Ort und vielleicht zu einer noch ungewöhnlicheren Zeit an, interpretiert das System dies als abweichendes Verhalten und verlangt eine Bestätigung über die legitime Anmeldung.

Illustration von risikobasierter Authentifizierung bei niedrigem Risiko. Illustration: Stephan Wiefling
Funktionsweise von risikobasierter Authentifizhierung bei als niedrig eingestuftem Risiko. Illustration: Stephan Wiefling

Risikobasierte Authentifizierung ist damit für Nutzer insofern komfortabel, als sie nur einmal ihr Passwort eingeben müssen, um von der Webseite akzeptiert zu werden, sofern nichts Ungewöhnliches vor sich geht. Dies bestätigt auch eine Laborstudie mit knapp 70 Nutzerinnen und Nutzern: Sie nehmen laut Wiefling RBA zudem als signifikant sicherer wahr als eine rein passwortbasierte Authentifizierung. Konkret bevorzugen sie ganz klar RBA für Webseiten mit persönlichen Daten wie etwa Social-Media-Dienste oder Online-Shopping.

Damit nicht genug untersucht Wiefling in seinem Forschungsvorhaben RBA im Vergleich zur Zwei-Faktor-Authentifizierung (2FA), bei der sich Nutzer grundsätzlich immer zweimal mit zwei verschiedenen Merkmalen – beispielsweise Passwort und Einmal-PIN – authentifizieren müssen, damit das System sie akzeptiert. Bei gleichem Sicherheitsgefühl werde RBA zwar deutlich besser akzeptiert als 2FA, berichtet Wiefling, aber es gebe eine Ausnahme: Bei Webseiten mit sehr hohen Sicherheitsanforderungen wie beim Online-Banking wird die Zwei-Faktor-Authentifizierung noch bevorzugt.

Passwortsicherheit und -raten

Doch wie kommen Internetkriminelle überhaupt an Passwörter heran und welche Techniken nutzen sie? Wie sollten sichere Passwörter beschaffen sein?

Doktorand Stephan Wiefling nennt die beiden kritischen Situationen. Zu der ersten gehören massive sogenannte Datenbankleaks. Dabei werden – wie in der Vergangenheit geschehen – beispielsweise bei LinkedIn, Adobe oder MySpace – Kundendaten einschließlich des Passworts gestohlen. Mit E-Mail-Adresse und Passwort probieren die Hacker dann mit automatisierten Verfahren, ob diese Kombination auch auf anderen Webseiten funktioniert. „Credential Stuffing“ heißt diese Vorgehensweise, die allein von Online-Dienstleister Akamai täglich 250 Millionen Mal registriert wird.

Porträt von Stephan Wiefling. Foto: TH Köln
Doktorand Stephan Wiefling. Foto: TH Köln

Die zweite Methode ist das immer ausgeklügeltere Raten von Passwörtern mit verblüffendem Erfolg. Wiefling: „Der Erfolg liegt bei 70 Prozent schon bei weniger als 100 Rateversuchen.“ Die Ratemethode basiert auf Annahmen und vorhandenen Daten. Jemand sammelt Daten zu einer Zielperson wie Namen oder Geburtsdaten von Angehörigen, vielleicht sogar bereits bekannte Passwörter oder den Namen des Haustieres. Danach berechnet der Computer aus statistischen Annahmen eine Liste möglicher Passwörter, die am wahrscheinlichsten gewählt wurden. „Wir sind nun mal Menschen und können uns kryptische Zeichenkombinationen nur schwer merken“, erklärt Wiefling den erschreckenden Erfolg der Methode, die schon 2016 wissenschaftlich beschrieben wurde.

Wiefling lässt seine Passwörter von einem Passwort-Manager erstellen, den manche Internetbrowser direkt anbieten. Außerdem sollte kein Passwort für mehrere Internetdienste benutzt werden, rät er und ergänzt, nicht jedes Passwort müsse unendlich kompliziert sein. Ein längerer Satz wie „Montags arbeite ich oft sehr gerne“ bringe meist bessere Sicherheit als schwer merkbare, dafür aber kürzere Zeichenkombinationen wie „$Le90pch“. Damit entsteht eine Fülle von Passwörtern, die er in einem Online-Safe für Passwörter speichert, wo sie automatisch verschlüsselt werden. Nutzer müssen sich dann nur noch ein einziges Passwort merken: Es öffnet den Safe und entschlüsselt die Passwörter.

Positives Echo von IT-Sicherheitsexperten

Im Zuge seiner Forschungsarbeit veröffentlichte Doktorand Wiefling schon einige Paper und Aufsätze mit Ergebnissen, die große Aufmerksamkeit in der Branche hervorgerufen haben. So hat beispielsweise der international renommierte IT-Sicherheitsexperte Bruce Schneier die neueste Studie in seinem Blog empfohlen. Auch die RBA-Entwickler bei Google zeigten sich von seiner Arbeit sehr angetan. Deshalb ist er sich sicher, dass die Ergebnisse für einen größeren Einsatz von RBA sorgen können. „In der Folge können noch mehr Nutzerinnen und Nutzer von den Vorteilen dieser Technologie profitieren“, sagt Wiefling.

Informationssicherheit können an der H-BRS bereits Studierende im Bachelor-Studium Informatik als Spezialgebiet wählen. Ab dem Wintersemester 2021/22 soll dann der Studiengang „Cybersecurity and Privacy“ an den Start gehen.